15295

15295

سنتز و شناسايي الگوهاي رفتاري مخرب به منظور ارائه يك رويكرد مبهم¬سازي رفتاري

كارشناسي ارشد

كامپيوتر - گرايش نرم¬افزار

آبان ماه 1394

آبان ماه 1394

دكتر سعيد پارسا

چكيده يك الگوي رفتاري مخرب، به بخشي از رفتار برنامه اطلاق مي¬شود كه به¬محض مشاهده توسط يك كشف¬كننده¬ي بدافزار مبتني بر رفتار، برنامه¬ي حاوي آن الگو به¬عنوان يك برنامه¬ي مخرب تشخيص داده مي¬شود. يك كشف¬كننده بدافزار مبتني بر رفتار به¬منظور كشف بدافزار، رفتارِ زمان اجراي برنامه¬ها را تحت نظر قرار داده و در صورت مواجهه با الگوي رفتاري مخرب از جانب يك برنامه،¬ به ادامه¬¬ي اجراي آن برنامه به سرعت خاتمه مي¬دهد. نمايش رفتار برنامه براساس گراف وابستگي بين فراخواني¬هاي سيستمي امكان¬پذير است، كه با استفاده از آن مي¬توان الگوهاي رفتاري مخرب موجود در يك برنامه را در قالب زيرگراف‌هايي مشخص نمود. به همين ترتيب يك مبهم¬ساز رفتاري، قادر است يك فعاليت مخرب را به نحوي انجام دهد كه امكان شناسايي الگوهاي رفتاري مخرب موجود در يك برنامه را براي كشف¬كننده¬هاي بدافزار مبتني بر رفتار كاملاً دشوار سازد. در همين راستا روش¬هاي مختلفي مبتني بر مخفي¬سازي فراخواني¬هاي سيستمي مطرح شده¬اند، كه اقدام به مبهم¬سازي رفتار بدافزار مي¬كنند؛ اما از آن¬جا كه اين روش¬ها، اطلاع دقيقي از الگوهاي رفتار مخرب موجود در يك بدافزار ندارند، نمي¬توانند به صورت موثر عمل مبهم¬سازي را انجام دهند. در اين پايان¬نامه راه¬كاري نوين، مبتني بر كاوش زيرگراف¬هاي مهم، براي استخراج دقيق الگوهاي رفتاري مخرب موجود در هر خانواده بدافزار پيشنهاد شده است. با شناسايي دقيق الگوهاي رفتاري مخرب، رويكردي به‌منظور مبهم¬سازي رفتاري بدافزارها به منظور فريب دادن ابزارهاي كشف مبتني بر رفتار بدافزار ارائه شده است. به گونه¬اي كه كارايي و ميزان اثرپذيري اين رويكرد، درگرو شناسايي الگوهاي رفتاري مخرب موجود در يك بدافزار است. نتايج ارزيابي¬هاي ما همواره نشان داده است كه روش پيشنهادي توانسته است، به ازاي هر خانواده بدافزار، رفتارهاي مخرب شايع گزارش‌شده توسط ضد-بدافزارهاي تجاري را نيز به‌درستي شناسايي كند. واژه‌هاي كليدي: گراف رفتار، گراف وابستگي بين فراخواني¬هاي سيستمي، الگوهاي رفتاري مخرب، زيرگراف¬هاي متمايزكننده، كاوش زيرگراف مهم